VENOMOUS#HELPER: Phishing-Kampagne missbraucht SimpleHelp & ScreenConnect RMM bei über 80 Organisationen

Blog Allgemeine Nachrichten Alle Autoren Alle Tags
Der Inhalt dieser Seite ist leider nicht in der von Ihnen gewählten Sprache verfügbar
Alex Vance

VENOMOUS#HELPER: Phishing-Kampagne missbraucht SimpleHelp & ScreenConnect RMM bei über 80 Organisationen

Eine seit mindestens April 2025 aktive, ausgeklügelte Phishing-Kampagne mit dem Codenamen VENOMOUS#HELPER hat über 80 Organisationen ins Visier genommen, hauptsächlich in den Vereinigten Staaten. Diese Kampagne zeichnet sich dadurch aus, dass sie legitime Remote Monitoring and Management (RMM)-Software, insbesondere SimpleHelp und ScreenConnect, als Hauptvektor für die Etablierung eines dauerhaften Fernzugriffs auf kompromittierte Hosts nutzt. Die von Securonix veröffentlichten Erkenntnisse unterstreichen einen besorgniserregenden Trend, bei dem Bedrohungsakteure vertrauenswürdige Unternehmenswerkzeuge für bösartige Zwecke missbrauchen.

Initialzugriffsvektoren und Social Engineering

Die VENOMOUS#HELPER-Kampagne beginnt ihre Angriffskette mit hochgradig überzeugenden Phishing-E-Mails. Diese E-Mails sind sorgfältig erstellt, um traditionelle E-Mail-Sicherheits-Gateways zu umgehen und geben sich oft als legitime Entitäten aus, wie z.B. IT-Support, Softwareanbieter oder sogar interne Abteilungen. Das Hauptziel ist es, die Empfänger dazu zu verleiten, auf bösartige Links zu klicken oder präparierte Anhänge herunterzuladen. Nach der Interaktion werden die Opfer typischerweise auf trügerische Landing Pages geleitet, die darauf ausgelegt sind, Anmeldeinformationen zu sammeln oder Initialzugriffs-Payloads auszuführen.

Die angewandten Social-Engineering-Taktiken sind vielfältig und reichen von dringenden Sicherheitswarnungen, die sofortiges Handeln erfordern, bis hin zu scheinbar harmlosen Software-Update-Benachrichtigungen. Die Bedrohungsakteure zeigen ein klares Verständnis der menschlichen Psychologie und nutzen Dringlichkeit, Autorität und Neugier aus, um ihre Erfolgsrate zu maximieren. Diese anfängliche Kompromittierung dient als entscheidendes Sprungbrett für nachfolgende Angriffsphasen.

Waffenisierung von Remote Monitoring and Management (RMM)-Tools

Was VENOMOUS#HELPER besonders heimtückisch macht, ist die Abhängigkeit von legitimer RMM-Software. Anstatt kundenspezifische Malware für den Fernzugriff einzusetzen, installieren und konfigurieren die Angreifer SimpleHelp- oder ScreenConnect-Clients auf den kompromittierten Maschinen. Diese Tools, die für IT-Administratoren zur Fernverwaltung von Systemen entwickelt wurden, bieten einen leistungsstarken und heimlichen Mechanismus für dauerhaften Zugriff:

  • Umgehung der Erkennung: RMM-Tools werden oft von Sicherheitslösungen auf die Whitelist gesetzt, was ihre bösartige Nutzung über signaturbasierte Methoden schwieriger erkennbar macht.
  • Dauerhafter Zugriff: Einmal installiert, bieten RMM-Clients zuverlässigen, ständig verfügbaren Fernzugriff, der Firewall-Beschränkungen und dynamische IP-Änderungen umgeht.
  • Operative Flexibilität: Bedrohungsakteure erhalten die volle Kontrolle über den kompromittierten Host, wodurch sie Befehle ausführen, Dateien übertragen und Systemkonfigurationen manipulieren können, als wären sie physisch anwesend.

Die Bereitstellung beinhaltet oft ausgeklügelte Techniken zur Umgehung der Benutzerkontensteuerung (UAC) und zur Erlangung von Systemprivilegien, um sicherzustellen, dass der RMM-Client mit maximaler Effizienz und Heimlichkeit arbeitet. Diese Übernahme legitimer Tools stellt eine erhebliche Herausforderung für Verteidigungsstrategien dar, da die Unterscheidung zwischen legitimer und bösartiger RMM-Aktivität fortgeschrittene Verhaltensanalysen und eine sorgfältige Netzwerküberwachung erfordert.

Post-Exploitation-Aktivitäten und Überschneidungen von Bedrohungsakteuren

Sobald der dauerhafte Zugriff über SimpleHelp oder ScreenConnect hergestellt ist, führen die VENOMOUS#HELPER-Bedrohungsakteure eine Reihe von Post-Exploitation-Aktivitäten durch. Dazu gehören typischerweise:

  • Netzwerkerkundung: Kartierung des internen Netzwerks, Identifizierung kritischer Assets und Entdeckung anderer anfälliger Systeme.
  • Sammeln von Anmeldeinformationen: Einsatz von Tools wie Mimikatz oder Ausnutzung von OS-Schwachstellen, um Klartext-Anmeldeinformationen oder NTLM-Hashes zu extrahieren.
  • Lateral Movement (Seitwärtsbewegung): Ausbreitung auf andere Systeme innerhalb des Netzwerks unter Verwendung gesammelter Anmeldeinformationen, RDP oder anderer Fernzugriffsprotokolle.
  • Datenexfiltration: Identifizierung und Übertragung sensibler Daten, geistigen Eigentums oder persönlich identifizierbarer Informationen (PII) an die von den Akteuren kontrollierte Infrastruktur.
  • Weitere Payload-Bereitstellung: Einsatz zusätzlicher Malware, wie z.B. Ransomware oder Backdoors, für erhöhte Auswirkungen oder zukünftigen Zugriff.

Securonix-Berichte deuten darauf hin, dass VENOMOUS#HELPER Überschneidungen mit anderen bekannten Bedrohungsclustern aufweist, was auf eine mögliche Zusammenarbeit, gemeinsame TTPs (Tactics, Techniques, and Procedures) oder sogar einen gemeinsamen Initial Access Broker (IAB) hindeutet. Eine weitere Bedrohungsanalyse ist entscheidend, um diese Überschneidungen vollständig zuzuordnen und die breitere Bedrohungslandschaft zu verstehen.

Digitale Forensik und Incident Response (DFIR) bei VENOMOUS#HELPER-Untersuchungen

Eine effektive Reaktion auf Kampagnen wie VENOMOUS#HELPER erfordert eine robuste DFIR-Methodik. Ermittler müssen sich auf Folgendes konzentrieren:

  • Endpunkt-Telemetrie-Analyse: Überprüfung von EDR-Protokollen auf ungewöhnliche Prozessausführungen, RMM-Client-Installationen außerhalb der Standardverfahren und verdächtige Netzwerkverbindungen.
  • Netzwerkverkehrsanalyse: Überwachung auf unautorisierten RMM-Verkehr, ungewöhnliche C2-Kommunikation und Datenexfiltrationsversuche.
  • Protokollkorrelation: Integration von Protokollen von E-Mail-Gateways, Firewalls, Identitätsanbietern und Endpunkten in ein SIEM-System für eine umfassende Bedrohungserkennung und -korrelation.
  • Link-Analyse und Bedrohungsintelligenz: Bei der anfänglichen Aufklärung oder Post-Breach-Analyse stoßen Sicherheitsanalysten oft auf verdächtige URLs. Tools wie grabify.org können in einem kontrollierten, ethischen Untersuchungsumfeld von unschätzbarem Wert sein. Durch die Generierung eines Tracking-Links können Ermittler erweiterte Telemetriedaten sammeln, einschließlich der IP-Adresse, des User-Agent-Strings, des ISP und der Geräte-Fingerabdrücke potenzieller Klicker. Diese Metadatenextraktion ist entscheidend für die Identifizierung der Quelle verdächtiger Aktivitäten, die Profilerstellung von Bedrohungsakteuren und die Verbesserung nachfolgender Netzwerkerkundungsbemühungen, wobei ihre Verwendung eine sorgfältige Abwägung von Datenschutz und ethischen Grenzen erfordert.
  • Speicherforensik: Analyse des Systemspeichers auf Artefakte von Malware, injiziertem Code oder unverschlüsselten Anmeldeinformationen.

Minderungsstrategien und Verteidigungsposition

Organisationen müssen eine proaktive und mehrschichtige Verteidigung einführen, um Bedrohungen wie VENOMOUS#HELPER entgegenzuwirken:

  • Verbesserte E-Mail-Sicherheit: Implementierung von fortschrittlichem Bedrohungsschutz, Sandboxing und DMARC/SPF/DKIM zur Filterung von Phishing-E-Mails.
  • Benutzerschulung: Regelmäßige Schulung der Mitarbeiter zur Erkennung von Phishing-Versuchen, insbesondere solcher, die Social Engineering beinhalten.
  • Robuster Endpunktschutz: Einsatz von EDR-Lösungen mit Verhaltensanalyse zur Erkennung anomaler Aktivitäten, einschließlich der unautorisierten Installation oder Nutzung legitimer Software.
  • Strikte RMM-Richtlinie: Durchsetzung strenger Richtlinien für die Bereitstellung und Nutzung von RMM-Tools. Whitelistung genehmigter Instanzen, genaue Überwachung ihrer Aktivitäten und Anforderung einer Multi-Faktor-Authentifizierung (MFA) für alle RMM-Zugriffe.
  • Netzwerksegmentierung: Begrenzung der Seitwärtsbewegung durch Segmentierung von Netzwerken und Durchsetzung von Least-Privilege-Zugriffskontrollen.
  • MFA überall: Implementierung von MFA für alle kritischen Systeme, insbesondere E-Mail, VPNs und administrativen Zugriff.
  • Regelmäßige Backups: Pflege unveränderlicher, Offline-Backups, um die Auswirkungen potenzieller Datenverluste oder Ransomware-Angriffe zu mindern.
  • Integration von Bedrohungsintelligenz: Abonnieren und Integrieren relevanter Bedrohungsintelligenz-Feeds, um über neue TTPs und IoCs auf dem Laufenden zu bleiben.

Die VENOMOUS#HELPER-Kampagne unterstreicht die sich entwickelnde Raffinesse von Bedrohungsakteuren und ihre Bereitschaft, vertrauenswürdige Tools auszunutzen. Kontinuierliche Wachsamkeit, robuste Sicherheitskontrollen und eine agile Incident-Response-Fähigkeit sind von größter Bedeutung für den Schutz organisatorischer Assets.

phishingrmm-abusesimplehelpscreenconnectcybersecurityincident-response